Dużo się mówi o synchronizacji czasu w Active Directory. Jak to powinno prawidłowo wyglądać?
Dużo się mówi o synchronizacji czasu w Active Directory. Jak to powinno prawidłowo wyglądać?
Usługa czasu jest faktycznie istotnym składnikiem domeny Active Directory, jest ona wymagana przez protokół uwierzytelniania Kerberos, którego ustawienia w GPO domeny pozwalają na rozsynchronizowanie czasu tylko o 5 minut. Wszelkie zmiany dokonywane na obiektach Active Directory mają zapamiętywany czas wystąpienia, który jest istotny w replikacji.
Schemat synchronizacji czasu jest następujący:
Źródłem sprzętowym może być dowolne urządzenie korzystające z protokołu NTP w sieci wewnętrznej. Źródłem zewnętrznym, np. time.windows.com korzystające z instytutu NIST (National Institute of Standards and Technology) z Boulder, w stanie Colorado. Instytut NIST oferuje usługę ACTS (Automated Computer Time Service), która zapewnia ustawianie zegara komputera z dokładnością do 10 milisekund.
Aby skonfigurować źródło czasu na PDC Emulatorze, należy wykonać następujące polecenie:
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
Usługa czasu wykorzystuje port UDP 123 dla ruchu wychodzącego i przychodzącego.
Dokładny opis polecenia na:
http://technet.microsoft.com/en-us/library/w32tm.aspx